Fortinet ponownie zwrócił uwagę na problem bezpieczeństwa swoich zapor sieciowych, informując o nowym obejściu uwierzytelniania, które może umożliwić atakującym przejęcie kontroli nad urządzeniami. Choć początkowe doniesienia sugerowały, że luka ta jest nowym zagrożeniem, Fortinet wyjaśnił, że została ona już naprawiona podczas styczniowej aktualizacji. Oznacza to, że użytkownicy, którzy wdrożyli rekomendowane przez producenta poprawki, są już chronieni. Luka oznaczona jako CVE-2025-24472 dotyczyła wersji FortiOS od 7.0.0 do 7.0.16 oraz FortiProxy od 7.0.0 do 7.0.19 i FortiProxy od 7.2.0 do 7.2.12. Fortinet wdrożył odpowiednie poprawki w FortiOS 7.0.17 oraz FortiProxy 7.0.20 i 7.2.13. Tym samym firma zaleca wszystkim administratorom, którzy jeszcze nie zaktualizowali oprogramowania, aby jak najszybciej dokonali stosownych zmian.
Luka wykorzystywana w atakach
Choć Fortinet zaznaczył, że CVE-2025-24472 nie była nowym zagrożeniem, firma przyznała, że wcześniejsza luka CVE-2024-55591 została aktywnie wykorzystywana przez cyberprzestępców. W obu przypadkach atakujący byli w stanie przejąć uprawnienia administratora poprzez wysyłanie specjalnie spreparowanych żądań proxy CSF, co pozwalało im uzyskać pełną kontrolę nad zaporami sieciowymi i potencjalnie przedostać się do wewnętrznych zasobów firmowych. Według raportu Arctic Wolf Labs ataki na urządzenia Fortinet rozpoczęły się już w listopadzie. Eksperci ds. cyberbezpieczeństwa wskazali, że wykryto nieautoryzowane logowania administracyjne, tworzenie nowych kont, modyfikację reguł zapory oraz wykorzystywanie kont VPN w celu uzyskania dostępu do wewnętrznych sieci firmowych. Wszystko to sugeruje skoordynowaną kampanię, której celem było trwałe osadzenie się w infrastrukturze ofiar.
Reakcja Fortinet i zalecenia dla administratorów
Fortinet zalecił użytkownikom, którzy z różnych powodów nie mogą od razu wdrożyć aktualizacji, tymczasowe środki zaradcze. Wśród rekomendacji znalazło się wyłączenie dostępu administracyjnego do zapory sieciowej przez HTTP/HTTPS lub ograniczenie dostępu do interfejsu administracyjnego wyłącznie do wybranych adresów IP. Choć nie stanowi to pełnego zabezpieczenia przed potencjalnymi atakami, znacznie utrudnia przejęcie kontroli nad podatnymi na zagrożenie systemami. Firma podkreśliła również, że organizacje powinny monitorować swoje systemy pod kątem nietypowej aktywności, takiej jak nagłe zmiany w konfiguracji zapory czy nieautoryzowane logowania administratorów. Warto również wdrożyć dodatkowe mechanizmy uwierzytelniania, aby zabezpieczyć dostęp do newralgicznych elementów sieci.
Kolejne wyzwanie dla administratorów
Ostatnie wydarzenia pokazują, że cyberprzestępcy stale doskonalą swoje metody ataku, a producenci oprogramowania muszą być o krok przed nimi. Fortinet, jako jeden z liderów w zakresie bezpieczeństwa sieciowego, regularnie publikuje aktualizacje i poradniki mające na celu ochronę swoich klientów. Jednak skuteczność tych działań zależy również od administratorów systemów, którzy muszą na bieżąco monitorować i wdrażać poprawki. Eksperci ostrzegają, że ignorowanie aktualizacji może mieć poważne konsekwencje, zwłaszcza że cyberprzestępcy często wykorzystują luki w zabezpieczeniach w ciągu kilku dni od ich ujawnienia. Warto więc traktować każdą publikowaną łatkę jako priorytet i niezwłocznie reagować na zalecenia dostawców oprogramowania.
